Forum d'Entraide Informatique (FEI) 

Site d'assistance et de sécurité informatique.

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
Avatar de l’utilisateur
par g3n-h@ckm@n
#182359
coucou

ah ! moi j'ai la 112 ^^
Avatar de l’utilisateur
par g3n-h@ckm@n
#182374
hello tiens essaie ca , on sait jamais ( en laissant tourner adAnti )

https://www.youtube.com/watch?v=XE78qXlP04c

essaie de faire des capture comme ca, ca m'aidera à comprendre où j'ai flanché si ca a fonctionné
Avatar de l’utilisateur
par g3n-h@ckm@n
#182381
utilise https://www.sosvirus.net/telecharger/hddfix/

tu le lances , tu cliques sur listing ( lance -le clic droit en tant qu'..... )

ensuite poste $HDDList qui sera sur ton bureau via cjoint.com

gaffe c'est très rapide lol une seconde ^^
Avatar de l’utilisateur
par g3n-h@ckm@n
#182392
rien d'anormal , supprime l outil , il est dangereux de le garder si on est pas averti de son utilisation ce n'est pas un jouet il peut détruire ton système.

bon je vais continuer mes recherches , en attendant tourne avec mon truc.....

Edit::

passe ca dans Seaf (fichiers/dossiers + registre ) :

{97823806-8127-8983-B8A6-7FE1263E0A8A}
Avatar de l’utilisateur
par g3n-h@ckm@n
#182398
tiens c'est marrant qu'il ait rien trouvé parce que c'est un autre CLSID que j'ai trouvé dans AdAntiHS.dll..........
enfin marrant...pas de quoi se poiler mais bon ;)
Avatar de l’utilisateur
par g3n-h@ckm@n
#182436
hello fais un nettoyage avec zhpcleaner voir, sans grande conviction mais bon.....

https://toolslib.net/downloads/viewdown ... hpcleaner/
Avatar de l’utilisateur
par g3n-h@ckm@n
#182446
ouaip.....

mets malwarebytes à jour et coche la case "rechercher les rootits" dans analyse personnalisée , pis refais une analyse avec
Avatar de l’utilisateur
par g3n-h@ckm@n
#182449
non lol par contre j'ai peut-être une petite idée......
Avatar de l’utilisateur
par g3n-h@ckm@n
#182458
re

fais une recherche seaf avec également dans le registre de coché avec chacun de ces trois elements :

qkrvjq
rjqjor
peleno
Avatar de l’utilisateur
par g3n-h@ckm@n
#182469
Désactive tes protections puis selectionne et copie ce texte en entier :

Code : Tout sélectionner
Key::
[HKLM\System\ControlSet001\Enum\Root\LEGACY_RJQJOR]
[HKLM\System\ControlSet002\Enum\Root\LEGACY_RJQJOR]
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RJQJOR]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]|""|REG_SZ|""



Lance Quickdiag et clique sur le "S" en haut à droite de l'interface

une fenetre doit s'ouvrir avec exactement ce texte ( ne colle rien c'est pris en charge ) , ensuite tu refermes après vérification ( si il n'a pas la meme chose dans la fenetre que ce qui est dans le cadre au dessus , tu referme cette fenetre , te reselectionnes tout le texte et tu recliques sur le "S" ))

Ensuite clique sur le bouton "Script"

l'outil va travailler et presque instantanément une nouvelle fenêtre va s'ouvrir avec les résultats , tu copies tout ce qu'il y a dans cette nouvelle fenetre et tu colles le contenu dans ta réponse.

une fois envoyé tu peux tout fermer de l'outil
Avatar de l’utilisateur
par guitar.bruno
#182474
--------------- QuickScript | g3n-h@ckm@n | 2_23.09.2016.1 ---------------

----- XP | Vista | 7 | 8 | 8.1 | 10 - 32/64 bits ----- - Start 10/01/2017 21:35:27

Updated 23/09/2016 | 10.30 by g3n-h@ckm@n
Contact : http://www.sosvirus.net/

Time Zone : (UTC+01:00) Bruxelles, Copenhague, Madrid, Paris
[Bruno (Administrator)] - [BRUNO-PC] (S-1-5-21-1413675022-3679237491-1003182551-1000)

System: Microsoft Windows 7 Édition Intégrale - Service Pack 1 - (6.1.7601) - BuildType: Multiprocessor Free - OSLanguage: 1036 (040c)
System: AutoReboot: True - DebugFilePath: %SystemRoot%\MEMORY.DMP - KernelDumpOnly: False - OverwriteExistingDebugFile: True - WriteDebugInfo: True - WriteToSystemLog: True
Boot : Microsoft Windows 7 Édition Intégrale |C:\Windows|\Device\Harddisk1\Partition2
Boot : Normal boot
PC: MS-7850 - MSI - IdNumber: To be filled by O.E.M. - UUID: 00000000-0000-0000-0000-D8CB8AEA4DFD
Processor : X64 - 3200 Mhz - Intel(R) Core(TM) i5-4460 CPU @ 3.20GHz
BIOS Date: 03/30/15 12:56:41 Ver: V2.9B0 - en|US|iso8859-1 - American Megatrends Inc. - S/N: To be filled by O.E.M. - V2.9 - HPQOEM - 1072009
CoreTemp : 29.8 Celsius

----------| Script

Key : [HKLM\System\ControlSet001\Enum\Root\LEGACY_RJQJOR] Deleted Successfully
Key : [HKLM\System\ControlSet002\Enum\Root\LEGACY_RJQJOR] Deleted Successfully
Key : [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RJQJOR] Deleted Successfully
Key : [HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery] Deleted Successfully
[HKU\S-1-5-21-1413675022-3679237491-1003182551-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery]~[] : -> Set Successfully

----------(EOF)----------
Avatar de l’utilisateur
par g3n-h@ckm@n
#182477
vérifie que ces trois clés soient bien absentes manuellement

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qkrvjq
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rjqjor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\peleno
Avatar de l’utilisateur
par guitar.bruno
#182478
Elles sont bien absentes!

A toute fin utile, j'ai aussi fait une recherche avec tes termes de bout de ligne , et il y a encore trace de rjqjor ici ;

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RJQJOR\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RJQJOR\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RJQJOR\0000

A voir...
Avatar de l’utilisateur
par g3n-h@ckm@n
#182481
hello

ok c'est sans danger le service n est plus actif mais je ne sais pas si tu peux les supprimer manuellement
Avatar de l’utilisateur
par g3n-h@ckm@n
#182487
tu as redémarré depuis le script ?
Avatar de l’utilisateur
par g3n-h@ckm@n
#182491
hello je sens qu il va falloir que je te code un truc qui fouille les séquences hexadécimales de tous les fichiers exécutables (ou qui leur sert à exécuter du code) du pc voir si on retrouve pas la séquence de AdAntiHS dans l'un d'eux.... c'est pas possible y'a bien un autre fichier qui la crée elle peut pas apparaitre toute seule en claquant des doigts......
j'entends par là :

.js, .vbs, .vbe, .exe, .com, .dll, .sys, .dat, .ocx, .bat, .cmd

(.pif et .scr, je pense pas que ce soit la peine ce genre d infection n' utilise pas ces extensions )
Avatar de l’utilisateur
par g3n-h@ckm@n
#182499
re ^^

oki je m'en occupe demain dans la journée ;) je suis un peu crevé ce soir je n'aurai pas la concentration requise
Avatar de l’utilisateur
par g3n-h@ckm@n
#182507
coucou

alors je t'explique :

tu le lances avec le clic droit "executer en tant qu'administrateur" ( je lui ai déjà mis les droits admin mais au moins on est encore plus sûr lol )
l'outil va chercher les fichiers dont je t'ai nommé les extensions plus haut dans tout le pc ( sauf dans les dossiers où ce genre d'infection ne se cache pas ) et s'en établir une liste en mémoire , une fois fait il va commencer à analyser les séquences hexadécimales des fichiers, un par un, 2048 bits par 2048 bits.Il va établir un compte rendu de chaque fichier dans un fichier texte : C:\AdAnti.txt.

s'il détecte une séquence correspondant à AdAntiHS, il le signalera , sinon il dira que le fichier est OK , voici un exemple d'un fichier .exe dont j'ai modifié l'extension en .vbs et modifié quelques hexas pour y intégrer ce qui donnerait en caractères : AdAntiHS

donc voici un exemple de compte rendu de détection : http://gen-hackman.ddns.net:8123/Temp/A ... 0Copie.txt

et voici le prog à lancer : http://gen-hackman.ddns.net:8123/Temp/Search_AdAnti.exe
Avatar de l’utilisateur
par guitar.bruno
#182510
Hello,

Ok merci mais...ouch!!! Fallait me prévenir que ce scan allait durer 3 siècles et demi!!! D'ailleurs j'ai pas encore d'idée claire sur le pourquoi de cette longueur de scan! :suspect: Et j'ai dû forcer le redémarrage car ça interdit l'arret de processus! :cry:

Ca n'empêche que je salue tes efforts! :-)

Bref j'ai besoin du PC cet apresm et concert ce soir !(je m'en sers pour mes cours avec mes élèves) et je te fais ça mais je prévois la nuit entière ;)

@ demain!
Avatar de l’utilisateur
par g3n-h@ckm@n
#182511
et encore j'ai limité l'examen des fichiers sur les fichiers de 20Mo maxi lol
oui j'en ai lancé un au même moment où tu l'as téléchargé , et il est pas encore fini (je sais pas si en faisant 4096 bits par 4096 ca mettrait moins de temps mais j'avais peur de saturer la mémoire en lui demandant une trop grande analyse hexa par séquence ..... :/ )

tiens si ca t'amuse de lire le code ^^

http://www.cjoint.com/doc/17_01/GAnojBh ... AdAnti.txt
Avatar de l’utilisateur
par g3n-h@ckm@n
#182520
suite du précédent message :

si tu ne l'as pas encore lancé j'ai fait quelques modifs pour éviter d'autres dossiers non utilisés et j'ai réduit la taille des fichiers inspectés à 10 Mo je pense pas que plus ca soit utile en fait.... ) histoire de gagner du temps en plus
Avatar de l’utilisateur
par g3n-h@ckm@n
#182522
oui pour aller au bout il ira au bout ca c'est sûr lol

je suppose qu il en est au dossier C:\windows\etc.......
Avatar de l’utilisateur
par guitar.bruno
#182523
Heu....je voudrais pas dire mais j'ai l'impression que ton soft tourne en boucle.

Il a en effet bien passé le dossier Windows , qui devrait être le dernier à scanner si je te suis bien, mais à l'observer un peu, les fichiers de mes pilotes de ma CG Radeon ou memtest.exe , il a déjà fait....

..................................

Désolé je l'ai arrêté (cette fois en arrêt processus sans redémarrer à l'arrache comme hier) et je crois que je vais accepter ton alternative. ;)
Modifié en dernier par guitar.bruno le sam. 14 janv. 2017 11:23, modifié 1 fois.
Avatar de l’utilisateur
par g3n-h@ckm@n
#182524
il y'en a dans différents dossiers , pas uniquement dans un seul donc c'est possible que tu les voies en plusieurs fois
quand ca sera fini la fenetre se fermera toute seule.
tu zipperas le fichier texte dans c: et tu mettras le zip sur cjoint que je voie de quoi il en retourne
Avatar de l’utilisateur
par guitar.bruno
#182525
Oops!

Je ne sais pas si tu as vu ma modif de réponse...

Mais bientôt 12 heures de scan, avec un PC pas trop mal en ressources processeur (3,2 GHZ) , je me disais que c'était incroyablement long franchement.... :reflexion:
Avatar de l’utilisateur
par g3n-h@ckm@n
#182532
tu as vu combien il y a de fichiers executables ? lol

on va faire autrement . on va déjà faire une liste de tous les dossiers , comme ca je mettrai un maximum de dossiers légitimes en bypass ca nous fera gagner encore plus de temps (j'ai déjà whitelisté les principaux légitimes sûrs à 100%)

vu que t'es gavé de logiciels de musique et qu'ils sont énormes ( style image-line fruity loops ou ableton ou du genre.....)

execute ca : http://gen-hackman.ddns.net:8123/Temp/Search_Files.exe

et quand la fenetre se barre ( moins de 5 mn logiquement) , envoie c:\List.txt : http://gen-hackman.ddns.net:8123/Upload/
  • 1
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

OK j'avais perdu ma connection sur un update de w[…]

merci Mr Rubised, voici les rapports, http://www[…]

Bonjour, Pour ton Update sur Windows 7 essaie qu[…]

ok mets ton adresse mail quand il te le demande c […]